漏洞起因
设计错误
危险等级
低
影响系统
XML Security Library 1.x
不受影响系统
危害
远程攻击者可以利用漏洞在目标系统上创建或覆盖任意文件。
攻击所需条件
攻击者必须构建恶意XML文件,诱使用户解析。
漏洞信息
XML Security Library是一个基于LibXML2 开发的用来处理XML安全标准的C库。
当校验XML我呢件签名时XML安全库没有正确限制文件读和写,攻击者可以利用漏洞构建包含特殊转换的XML文件,诱使用户处理,导致把任意内容写到任意目标文件中。
测试方法
厂商解决方案
XML Security Library 1.2.17已经修复此漏洞,建议用户下载使用:
http://www.aleksey.com/xmlsec/
漏洞提供者
Nicolas Gregoire.
0 条评论。